NetWorker: AD via SSL (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)

Als u SSL-authenticatie wilt configureren, importeert u de basis-CA (of CA-keten) in het cacerts-bestand dat wordt gebruikt door de authc-server van NetWorker. In omgevingen met één NetWorker-server is de server de verificatieserver; In grotere datazones kan één Authc-server de primaire authenticatieserver zijn voor meerdere servers. Zie het veld Aanvullende informatie voor instructies voor het identificeren van de authc-server.

AUTHC configureren voor het gebruik van SSL

Linux NetWorker-servers:

1. Open een SSH-sessie naar de NetWorker authc-server.
2. Overschakelen naar root:

$ sudo su -

3. Gebruik OpenSSL om het CA-certificaat (of certificaatketen) van de domeinserver op te halen:

# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• Enkel certificaat: Kopieer het certificaat inclusief het -----BEGIN CERTIFICATE----- en -----END CERTIFICATE----- en plaats het in een bestand met de naam RCAcert.crt op een locatie naar keuze.
• Certificaatketen: Kopieer elk certificaat (inclusief de velden -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----) en plaats ze in afzonderlijke bestanden. Bijvoorbeeld ICA3cert.crt, ICA2cert.crt, ICA1cert.crt en als laatste RCAcert.crt.

4. U kunt het proces vergemakkelijken door de volgende opdrachtregelvariabelen in te stellen:

# java_bin=<path to java bin dir>
*NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory.
# RCAcert=<path to RCAcer.crt>
# ICA1cert=<path to ICA2cert.crt>
*NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.

[root@nsr certs]# java_bin=/opt/nre/java/latest/bin
[root@nsr certs]# RCAcert=/root/certs/RCAcert.crt
[root@nsr certs]#

5. Importeer de certificaten:

# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit
# $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit

# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit

6. Start de NetWorker-serverservices opnieuw. Bij het opnieuw opstarten van services wordt het cacerts-bestand opnieuw geladen tijdens het opstarten van authc. Als NetWorker-services niet opnieuw worden gestart na het importeren van de certificaten, mislukt het proces voor het configureren van de externe instantie in NetWorker met een certificaatgerelateerde fout.

# nsr_shutdown
# systemctl start networker

Windows NetWorker-servers:

1. Open een opdrachtprompt voor beheerders.
2. Stel de volgende variabelen in:

set openssl="<path to openssl.exe file>"
*NOTE* This path can differ depending on how OpenSSL was installed.
set java_bin="<path to java bin directory>"
*NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.

C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin"
C:\Users\administrator.AMER>

3. Gebruik OpenSSL om het CA-certificaat (of certificaatketen) van de domeinserver op te halen:

%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• Enkel certificaat: Kopieer het certificaat inclusief het -----BEGIN CERTIFICATE----- en -----END CERTIFICATE----- en plaats het in een bestand met de naam RCAcert.crt op een locatie naar keuze. 
• Certificaatketen: Kopieer elk certificaat (inclusief de velden -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----) en plaats ze in afzonderlijke bestanden. Bijvoorbeeld ICA3cert.crt, ICA2cert.crt, ICA1cert.crt en als laatste RCAcert.crt. 

4. Stel opdrachtregelvariabelen in voor de basiscertificeringsinstantie en eventuele tussenliggende certificaten (indien gebruikt):

set RCAcert="<path to RCAcert.crt>"
set ICA1cert="<path to ICA1cert.crt>"

C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"

5. Importeer de certificaten:

%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit
%java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit
%java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit
%java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit

%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit

6. Start de NetWorker-serverservices opnieuw. Bij het opnieuw opstarten van services wordt het cacerts-bestand opnieuw geladen tijdens het opstarten van authc. Als NetWorker-services niet opnieuw worden gestart na het importeren van de certificaten, mislukt het proces voor het configureren van de externe instantie in NetWorker met een certificaatgerelateerde fout.

net stop nsrd
net start nsrd

Externe autoriteitsbron 'AD over SSL' maken vanuit NWUI.

1. Open vanuit een webbrowser de NWUI-server: https:// nwui-server-name:9090/nwui
2. Meld u aan met het NetWorker Administrator-account.
3. Vouw in het menu Verificatieserver uit en klik op Externe autoriteiten.
4. Klik bij Externe instanties op Toevoegen+.
5. Vul de configuratievelden in:

6. Als u klaar bent, klikt u op opslaan.
7. Er zou nu een overzicht van de geconfigureerde externe autoriteitsbron moeten verschijnen:

8. Bewerk in het menu Servergebruikersgroepen> de gebruikersgroepen met de rechten die u wilt delegeren aan AD/LDAP-groepen of gebruikers. Als u volledige beheerdersrechten wilt toekennen, geeft u de AD-groeps-/gebruikers-ID op in het veld Externe rollen van de rollen Applicatiebeheerders en Beveiligingsbeheerders .

Bijvoorbeeld: CN=NetWorker_Admins,DC=amer,DC=lan

Dit kan ook worden gedaan vanaf de opdrachtregel:

nsraddadmin -e "Distinguished_Name"

nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.

9. Zodra de AD-groep of gebruikers-DN's zijn opgegeven, klikt u op Opslaan. 
10. Meld u af bij de NWUI-interface en meld u opnieuw aan met het AD-account:

11. Het gebruikerspictogram in de rechterbovenhoek geeft aan voor welk gebruikersaccount is ingelogd.

Bevestiging van de AUTHC-server die wordt gebruikt voor NetWorker-authenticatie
Het bestand gstd.conf van de NetWorker Management Console (NMC)-server laat zien welke host wordt gebruikt om aanmeldingsverzoeken te verwerken:

Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

Controleer het bestand op de authsvc_hostname waarde. De authsvc_hostname is de authc (authenticatie) server.

Het lidmaatschap van een AD-groep controleren en de DN-waarden (Distinguished Name) ophalen die nodig zijn voor NetWorker-machtigingen:
U kunt gebruik maken van de authcmgmt opdracht op uw NetWorker-server om te bevestigen dat de AD/LDAP-groepen/gebruikers zichtbaar zijn:

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username

Voorbeeld:

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

• NetWorker: LDAP/AD instellen met behulp van authc_config scripts
• NetWorker: AD/LDAP-authenticatie instellen
• NetWorker: Het beheerderswachtwoord opnieuw instellen
• NetWorker: LDAPS-integratie mislukt met 'Er is een SSL-handshakefout opgetreden tijdens een poging om verbinding te maken met de LDAPS-server: Kan geen geldig certificeringspad naar aangevraagd doel vinden"
• NetWorker: Certificaten importeren of vervangen die door de certificeringsinstantie zijn ondertekend voor "Authc" en "NWUI" (Linux)
• NetWorker: Certificaten importeren of vervangen die door de certificeringsinstantie zijn ondertekend voor "Authc" en "NWUI" (Windows)